linux系统自动化安装和selinux

shewei Linux干货

系统自动化安装:
 Anaconda 安装系统分成三个阶段:
  安装前配置阶段
安装过程使用的语言
键盘类型
安装目标存储设备
Basic Storage :本地磁盘
特殊设备:iSCSI
设定主机名
配置网络接口
时区
管理员密码x
设定分区方式及MBR 的安装位置
创建一个普通用户
选定要安装的程序包

创建引导光盘:
#cp /media/cdrom/isolinux/ /tmp/myiso/
#vi /tmp/myiso/isolinux/isolinux.cfg
initrd=initrd.img text ks=cdrom:/myks.cfg
#cp /root/myks.cfg /tmp/myiso/
#cd /tmp
# mkisofs -R -J -T -v –no-emul-boot –boot-load-size 4 –boot-info-table -V “CentOS 6.8 x86_64 boot” -b isolinux/isolinux.bin -c isolinux/boot.cat -o /root/boot.iso myiso/              

  #直接使用此光碟引导自动安装

    装完后建议转换混合模式:安装包syslinux      执行命令:isohybrid   boot.iso

需要准备好应答文件,制作方法基本差不多,可以使用现成的,也可以自己制作创建U 盘启动盘
#dd if=/dev/sr0 of=/dev/sdb

selinux介绍:
Linux 的一个强制访问控制的安全模块。2000年以GNU GPL 发布,
Linux内核2.6版本后集成在内核中

DAC :Discretionary Access Control 自由访问控制
MAC :Mandatory Access Control  强制访问控制
• DAC 环境下进程是无束缚的
• MAC 环境下策略的规则决定控制的严格程度
• MAC 环境下进程可以被限制的
• 策略被用来定义被限制的进程能够使用那些资源(文件和端口)
• 默认情况下,没有被明确允许的行为将被拒绝

SELinux 有四种工作类型:
 strict: centos5, 每个进程都受到selinux 的控制
 targeted:  用来保护常见的网络服务, 仅有限进程受到selinux 
    控制,只监控容易被入侵的进程,centos4 只保护13个服务,centos5 保护88 个服务
 minimum :centos7, 修改的targeted ,只对选择的网络服务
 mls: 提供MLS (多级安全)机制的安全性
 targeted 为默认类型,minimum 和mls 稳定性不足,未加以应用,strict

传统Linux,一切皆文件,由用户,组,权限控制访问在SELinux中,一切皆对象( object)
           由存放在inode的扩展属性域的安全元素所控制其访问
           所有文件和端口资源和进程都具备安全标签: 
            安全上下文(security context)
 安全上下文有五个元素组成:
 user:role:type:sensitivity:category
 user_u:object_r:tmp_t:s0:c0
 实际上下文:存放在文件系统中,ls –Z;ps –Z
 期望( 默认)上下文存放在二进制的SELinux 策略库(映射目录和期望安全上下文)中
   semanage fcontext –l

selinu文件标签,cp 继承目标目录context
                mv 保留原有context(标签)

 Semanage :来自policycoreutils-python包 包
  查看默认的安全上下文
semanage fcontext –l
  添加安全上下文
semanage fcontext -a –t httpd_sys_content_t
‘/testdir(/.)?’
restorecon –Rv /testdir
  删除安全上下文
semanage fcontext -d –t httpd_sys_content_t
‘/testdir(/.)?’

查看端口标签
semanage port –l
  添加端口
semanage port -a -t  port_label -p  tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
  删除端口
semanage port -d -t  port_label -p  tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
  修改现有端口为新标签
semanage port -m -t  port_label -p  tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527

selinux布尔值:
布尔型规则:
getsebool
setsebool
  查看bool 命令:
getsebool [-a] [boolean]
semanage boolean –l
semanage boolean -l –C  查看修改过的布尔值
  设置bool 值命令:
setsebool [-P] boolean value (on,off) )
setsebool [-P] Boolean=value (0 ,1)

原创文章,作者:shewei,如若转载,请注明出处:http://www.178linux.com/72628

(0)
sheweishewei
0
上一篇 2017-04-05
下一篇 2017-04-06

相关推荐

  • dd工具

    dd     dd命令:convert and copy a file     用法:        ddif=/PATH/FROM/SRC of=/PATH/TO/DEST       &…

    Linux干货 2016-09-02

  • 关于生命中的根

    关于生命中的根    擦干心中的血和泪痕    留住我们的根 关于生命中的根 鸿蒙初辟,万物生于根 寻根之旅 根就是根 我即为根 路在何方 鸿蒙初辟,万物生于根    自linux老祖Torvalds创根之始至今,根一直为linux之本,而FHS(Filesystem Hierarchy Stand…

    Linux干货 2016-10-27

  • 笔记整理:权限管理3-ACL

    ACL 访问控制列表,并不是所有的Linux文件系统,都支持ACL。FAT文件系统也不支持ACL   ACL文件系统中,不支持chmod等命令。同时不能更改文件权限。不存在文件权限。 问题提出 只让wang用户,对该文件不能够访问,同时不影响其他任何用户对该文件的操作。   ACL特点 针对单一用户或群组,单一文件或目录,进行rwx权限设…

    Linux干货 2016-08-05
  • 建立dns服务 Linux干货

    建立dns服务

    一 、环境 两台机器,一台LINUX,机器名为LINUX,域名为tongqiang.cnIP地址为192.168.0.5,另一台机器为WIN98,机器名为tongqiang,IP地址从LINUX上DHCP服务器上获得。 二 、建立DNS服务器(假设你的DNS软件包已经安装好了,而且是在安装LINUX是选择安装DNS服务器的) 建立DNS服务器只需要修改以下几…

    2017-10-09

  • linux基础知识

    基本命令,man自助使用手册,linux文件目录。

    Linux干货 2017-12-11

  • tomcat基础进阶

                        tomcat基础进阶 前言 Tomcat Architecture Tomcat Installation Tomcat…

    Linux干货 2016-04-22
电话咨询
在线咨询